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(57) Abstract: The invention relates to a method for the control and evaluation of a message traffic of a communication unit (KE) 
— ^ by means of a first network unit (NE1) within a mobile radio system (MS), wherein all messages of the message traffic are forwarded 

via the first network unit (NE1). The first network unit (NE1) is used to decide, using one or more useful information items (NI) 

of the communication unit (KE), whether one or more messages are forwarded to a second network unit (NE2) for processing or 
^| whether they are blocked. The first network unit (NE1) is also used to determine, using one or more useful information items (NI) 
^ of the communication unit (KE), whether the respective message of the message traffic is logged by the first network unit (NE1) in 

a logflle. 
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(57) Zusammenfassung: Verfahren zur Steuerung und Auswertung eines Nachrichtenverkehrs einer Kommunikationseinheit durch 
eine erste Netzwerkeinheit innerhalb eines Mobil funks y stems, sowie dazugehorige Kommunikationseinheit und erste Netzwerkein- 
heit Bei einem Verfahren zur Steuerung und Auswertung eines Nachrichtenverkehrs einer Kommunikationseinheit (KE) durch eine 
erste Netzwerkeinheit (NE1) innerhalb eines Mobilfunksy stems (MS), bei dem alle Nachrichten des Nachrichtenverkehrs tiber die 
erste Netzwerkeinheit (NE1) geschickt werden, wird sowohl durch die erste Netzwerkeinheit (NE1) mit Hilfe einer oder mehrerer 
Nutzungsinformationen (NI) der Kommunikationseinheit (KE) entschieden, ob eine oder mehrere Nachrichten an eine zweite Netz- 
werkeinheit (NE2) zur Weiterbearbeitung weitergeleitet oder abgeblockt werden, als auch durch die erste Netzwerkeinheit (NE1) 
mit Hilfe einer oder mehrerer Nutzungsinformationen (NI) der Kommunikationseinheit (KE) festlegt, ob die jeweilige Nachricht des 
Nachrichtenverkehrs durch die erste Netzwerkeinheit (NE1) in einer Protokolldatei (PD) protokolliert wird. 
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Be s chr eibung 

Verfahren zur Steuerung und Auswertung eines Nachrichtenver- 
kehrs einer Kommunikationseinheit durch eine erste Netzwerk- 
5 einheit innerhalb eines Mobilf unksystems , dazugehorige Kommu- 
nikationseinheit und erste Netzwerkeinheit 

Der Erfindung liegt die Aufgabe zugrunde, die Steuerung und 
Auswertung des Nachrichtenverkehrs einer Kommunikationsein- 
10 heit durch eine erste Netzwerkeinheit innerhalb eines Mobil- 
f unksystems in einfacher und effizienter Weise bereitzustel- 
len . Diese Aufgabe wird durch folgendes erf indungsgemafte Ver- 
fahren gelost : 

15 Verfahren zur Steuerung und Auswertung eines Nachrichtenver- 
kehrs einer Kommunikationseinheit durch eine erste Netzwerk- 
einheit innerhalb eines Mobilf unksystems , indem alle Nach- 
richten des Nachrichtenverkehrs liber die erste Netzwerkein- 
heit geschickt werden r indem durch die erste Netzwerkeinheit 

2 0 mit Hilfe einer oder mehrerer Nutzungsinf ormationen der Kom- 
munikationseinheit KE entschieden wird, ob eine oder mehrere 
Nachrichten an eine zweite Netzwerkeinheit zur Weiterbearbei- 
tung weitergeleitet ocier abgeblockt werden, und indem durch 
die erste Netzwerkeintieit mit Hilfe einer oder mehrerer Nut- 

25 zungsinf ormationen der: Kommunikationseinheit entschieden 
wird, ob die jeweilige Nachricht des Nachrichtenverkehrs 
durch die erste Netzwerkeinheit in einer Protokolldatei pro- 
tokolliert wird. 

30 Durch das erf indungsgemaBe Verfahren wird in vorteilhaf ter 

Weise der Nachrichtenverkehr einer Kommunikationseinheit ge- 
steuert und ausgewertet. Unter Zuhilfenahme von einer oder 
mehreren Nutzungsinf ormationen der jeweiligen Kommunikations- 
einheit konnen fur verschiedene Kommunikationseinheiten un- 

35 terschiedliche und inclividuelle Entscheidungsregeln zur Steu- 
erung und Auswertung herangezogen werden. 
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Des Weiteren wird durch das erf indungsgemafte Verfahren in 
vorteilhaf ter Weise die Protokollierung des Nachrichtenver- 
kehrs einer Applikation der jeweiligen Kommunikationseinheit 
ermoglicht. Da die Protokollierung auf Applikationsebene 
5 durchgefuhrt wird, kann die Protokollierung von dem in den 
einzelnen Nachrichten enthaltenen Inhalt, also den Nachrich- 
tendaten, abhangig gemacht werden. So kann bei der protokol- 
lierung die Datenmenge von Nachrichten mit multimedialem In- 
halt, wie z.B. Videosequenzen oder Sprachauf zeichnungen, als 
10 kostenpf lichtiges Datenvolumen regis triert werden, und Nach- 
richten mit Steuerinf ormationen von der Protokollierung aus- 
geschlossen werden . 

Die Erfindung betrifft weiterhin auch eine erste Netzwerkein- 
15 heit zur Steuerung und Auswertung eines Nachrichtenverkehrs 

einer Kommunikationseinheit innerhalb eines Mobilf unksystems , 
mit einer Empf angseinheit , mittels der alle Nachrichten des 
Nachrichtenverkehrs der Kommunikationseinheit empf angbar 
sind, mit einer Sendeeinheit , mittels der alle Nachrichten 
2 0 des Nachrichtenverkehrs absendbar sind, und mit einer Verar- 
beitungseinheit, mittels der entscheidbar ist, ob mindestens 
eine Nachricht des Nachrichtenverkehrs aufgrund einer oder 
mehrerer Nutzungsinf ormationen der Kommunikationseinheit an 
eine zweite Netzwerkeinheit zur Weiterbearbeitung weiterge- 
25 leitet oder abgeblockt wird, und mittels der entscheidbar 
ist, ob mindestens eine Nachricht des Nachrichtenverkehrs 
aufgrund einer oder mehrerer Nutzungsinf ormationen der Kommu- 
nikationseinheit durch die erste Netzwerkeinheit in einer 
Protokolldatei protokolliert wird. 

30 

Die Erfindung betrifft auch eine Kommunikationseinheit bei 
der durch eine erste Netzwerkeinheit der Nachrichtenverkehr 
innerhalb eines Mobilf unksystems gesteuert und ausgewertet 
wird, mit einer Empf angseinheit , mittels der alle Nachrichten 
35 des Nachrichtenverkehrs empfangbar sind, und mit einer Sende- 
einheit, mittels der alle Nachrichten des Nachrichtenverkehrs 
absendbar sind- 
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Sonstige Weiterbildungen der Erfindung sind in den Unteran- 
spruchen wiedergegeben . 

5 Die Erfindung und ihre Weiterbildungen werden nachfolgend an- 
hand von Zeichnungen naher erlautert . 

Es zeigen: 

10 Figur 1 in schematischer Darstellung eine Anordnung zur 

Steuerung und Auswertung eines Nachrichtenverkehrs 
einer Kommunikationseinheit durch eine Netzwerkein- 
heit, die sich aus einer Gruppe von Netzwerkelemen- 
ten zusammensetzt F innerhalb eines Mobilf unksystems 

15 nach einer ersten Variante des erf indungsgemalien 

Verfahrens sowie zugehorige Modif ikationen, 

Figur 2 ein Ablauf diagramm eines moglichen Nachrichtenver- 
kehrs fur ein Anwendungsbei spiel nach Figur 1, 

20 

Figur 3 in schematischer Darstellung ein moglicher Aufbau 

einer abgerufenen Nutzungsinf ormation mit zwei Nut- 
zeridentitaten, 

25 Figur 4 in schematischer Darstellung eine Anordnung zur 

Steuerung und Auswertung eines Nachrichtenverkehrs 
einer Kommunikationseinheit durch eine Netzwerkein- 
heit, die sich aus einer Gruppe von Netzwerkelemen- 
ten zusammensetzt, innerhalb eines Mobilf unksys- 

30 terns , unter Verwendung des IMS-Standards nach einer 

weiteren Variante des erf indungsgemalien Verfahrens F 
sowie zugehorige Modif ikationen f 



Figur 5 

35 



ein Ablaufdiagramm eines moglichen Nachrichtenver- 
kehrs fur ein Anwendungsbei spiel nach Figur 4, 
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Figur 6 eine mogliche Erganzung des Ablauf diagramms fur ein 
Anwendungsbeispiel nach Figur 5, und 



Figur 7 ein mogliches Ablauf diagramm eines Nachrichtenver- 
5 kehrs fur ein weiteres Anwendungsbeispiel, bei dem 

Nachrichten mit SIP-Signalisierung und Nachrichten 
mit Nutzdaten, zwischen Kommunikationseinheit und 
Netzwerkeinheit, assoziiert werden. 



10 1, Erstes Ausf tihrungsbei spiel 
1 . 1 Vorrichtung 

In Figur 1 ist eine erste mogliche Vorrichtung zur Ausfuhrung 
des erf indungsgemafien Verfahrens dargestellt. Figur 1 zeigt 
eine vereinfachte Darstellung einer mdglichen Netzwerkarchi- 

15 tektur. In der Mitte von Figur 1 befindet sich ein Heimnetz- 
werk HN (HN - Home Network) einer Kommunikationseinheit KE f 
die sich in Figur 1 in einem besuchten Netzwerk VN (VN - Vi- 
sited Network) aufhalt. Dieser Fall ist im Allgemeinen auch 
als "Roaming" bekannt . Das Heimnetzwerk HN und das besuchte 

20 Netzwerk VN befinden sich in einem Mobilf unksystem MS. Die 

Kommunikationseinheit KE ist beispielsweise in einem Funkge- 
rat nach GSM-Standard (GSM - Global System for Mobile) oder 
UMTS-Standard (UMTS - Universal Mobile Telecommunications 
System) untergebracht . Diese Kommunikationseinheit KE erlaubt 

25 das Senden von Nachrichten mittels seiner Sendeeinheit SEl 
als auch das Empfangen von Nachrichten mittels seiner Emp- 
fangseinheit EE1 . Des Weiteren verfugt die Kommunikationsein- 
heit KE iiber eine Verarbeitungseinheit VEl, die das Ausflihren 
z.B. einer Applikation AP zulasst. Diese Applikation AP ist 

30 insbesondere eine Brows er-Anwendung oder eine Push-to-Talk 

Anwendung. Die Empf angseinheit EE1 r die Sendeeinheit SEl und 
die Verarbeitungseinheit VEl sind mittels eines Verbindungs- 
netzwerkes XN1 verbunden und damit in der Lage, Inf ormationen 
auszutauschen . 

35 

Die Kommunikationseinheit KE ist im besuchten Netzwerk VN mit 
einem ersten Netzwerkelement NW1 liber eine erste Verbindung 
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VI verbunden. Dieses erste Netzwerkelement NW1 ist insbeson- 
dere ein GGSN (GGSN - Gateway GPRS Support Node) (GPRS - Ge- 
neral Packet Radio System) . Diese erste Verbindung VI wird 
mit Hilfe der Prozedur mit einem Namen PDP Context Activation 
5 Procedure (PDP - Packet Data Protocol) aufgebaut, wie sie in 
3GPP (3GPP - 3rd Generation Partnership Project) TS 23.060 
Version 5.3.0 "General Packet Radio Service GPRS" , Stage 2 
beschrieben ist. Wahrend des Aufbaus dieser ersten Verbindung 
VI wird festgelegt, dass diese erste Verbindung VI lediglich 

10 fur den Austausch von Nachrichten, wie z.B. Nachrichten mit 
Nutzdaten ND, zwischen der Kommunikationseinheit KE und dem 
ersten Netzwerkelement NW1 verwendet werden darf . Als Nutzda- 
ten ND sind vorzugsweise Daten, wie z.B. ein Bild oder eine 
Sprachauf zeichung, j edoch keine Signalisierungsinf ormationen 

15 zu verstehen. Alle Nachrichten mit Nutzdaten ND, die auf die- 
ser ersten Verbindung VI gesendet werden, werden automatisch 
von dem ersten Netzwerkelement NW1 uber eine zweite Verbin- 
dung V2 an ein zweites Netzwerkelement NW2 weitergeleitet . 
Das zweite Netzwerkelement NW2 ist vorzugsweise ein Daten- 

2 0 Gateway. 

Das zweite Netzwerkelement NW2 hat zum einen eine vierte Ver- 
bindung V4 in ein of f entliches , paket-orientiertes Netzwerk 
PN (PN - Public Network) f wie beispielsweise dem Internet. 
Das offentliche, paket-orientierte Netzwerk PN umfasst bei- 
spielsweise eine zweite Netzeinheit NE2, wie z.B. einen Ser- 
ver mit Videosequenzen . Zum anderen existiert auch eine drit- 
te Verbindung V3 zu einem dritten Netzwerkelement NW3, wel- 
ches sich im Heimnetzwerk HN der Kommunikationseinheit KE be- 
findet. Das dritte Netzwerkelement NW3 ist vorzugsweise ein 
Daten-Gateway . 

Weiterhin ist das dritte Netzwerkelement NW3 mit einer Daten- 
bank HSS, vorzugsweise einem Home Subscriber Service, uber 
35 eine funfte Verbindung V5 vernetzt. Diese Datenbank HSS bein- 
haltet nutzerbezogene Inf ormationen der Kommunikationseinheit 
KE. Aufierdem ist das dritte Netzwerkelement NW3 uber eine 
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sechste Verbindung V6 mit dem of f entlichen, paket-orientier- 
ten Netzwerk PN verbunden. Zusatzlich kann das zweite Netz- 
werkelement NW2 im besuchten Netzwerk VN direkt mit der Da- 
tenbank HSS verbunden sein. Dies ist in Figur 1 mit einer ge- 
5 strichelten siebten Verbindung V7 angedeutet. 

Eine erste Netzwerkeinheit NEl kann aus mehreren Netzwerkele- 
menten NEE bestehen. In Figur 1 umfasst das erste Netzwerk- 
element NEl das erste, zweite und dritte Netzwerkelement NWl, 

10 NW2 , NW3 . Fur den Fall, dass sich die Kommunikationseinheit 
KE in ihrem Heimnetzwerk HN befindet, kann das zweite und 
dritte Netzwerkelement NW2 bzw. NW3 in einem einzigen Netz- 
werkelement untergebracht sein, das die Funktionalitaten des 
zweiten und dritten Netzwerkelements NW2 bzw. NWS abdeckt. 

15 Die erste Netwerkeinheit NEl umfasst eine Sendeeinheit SE2 

zum Ubermitteln von Nachrichten und eine Ernpf angseinheit EE2 
zum Entgegennehmen von Nachrichten. Daneben beinhaltet sie 
eine Verarbeitungseinheit VE2 zur Steuerung und Auswertung 
eines Datenverkehrs der Applikation AP der Kommunikationsein- 

20 heit KE. Die Sendeeinheit SE2, die Ernpf angseinheit EE 2 und 
die Verarbeitungseinheit VE2 konnen mittels eines Verbin- 
dungsnetzwerkes XN2 Inf ormationen austauschen. In Figur 1 
enthalt jedes Netzwerkelement NEE jeweils eine eigene Sende- 
einheit, eine eigene Ernpf angseinheit, eine eigene Verarbei- 

25 tungseinheit und ein eigenes Verbindungsnet zwerk . Exempla- 
risch ist in Figur 1 fur das zweite Netzwerkelement NW2 die 
Sendeeinheit SE2, die Ernpf angseinheit EE2, die Verarbeitungs- 
einheit VE2 und das Verbindungsnetzwerk XN2 abgebildet. 

30 1 , 2 Anf ragenachricht 

Mit Hilfe von Figur 1 wird im Folgenden die Authentif izierung 
einer Kommunikationseinheit naher erlautert. Diese Authenti- 
f izierung ist notwendig, damit das zweite Netzwerkelement NW2 
feststellen kann, ob eine Kommunikationseinheit tatsachlich 

35 die ist, fur die sie sich ausgibt und ob diese Kommunikati- 
onseinheit berechtigt ist, Nachrichten uber das zweite Netz- 
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werkelement NW2 mit dem of f entlichen, paket-orientierten 
Netzwerk PN auszutauschen . 



In Figur 2 wird ein Ablauf diagramm eines moglichen Nachrich- 
5 tenverkehrs dargestellt, der fur die Authentif izierung not- 
wendig ist. Insbesondere wird hierbei auf die Problematik des 
Nachrichtenaustauschs zwischen der Kommunikationseinheit KE 
und dem of f entlichen, paket-orientierten Netzwerk PN einge- 
gangen „ 

10 

Wenn die Kommunikationseinheit KE Nachrichten, zum Beispiel 
Nachrichten mit Nutzdaten ND, vom of f entlichen, paket- 
orientierten Netzwerk PN anfordert, oder Nachrichten an die- 
ses versenden mochte, schickt die Kommunikationseinheit KE 

15 eine Anf ragenachricht AN an das zweite Netzwerkelement NW2 . 
Fur den Fall, dass das HTTP-Protokoll (HTTP - Hyper Text 
Transfer Protocol) verwendet wird, handelt es sich bei dieser 
Anf ragenachricht AN urn einen HTTP-Request. In dieser Anf rage- 
nachricht AN ist eine Empf angeradresse EA enthalten, von der 

20 Nutzdaten ND angefordert und/oder geschickt werden. Die Emp- 
f angeradresse EA kann in Form einer URI (URI - Unique Resour- 
ce Indentifier) gestaltet sein. Zur Authentif izierung der 
Kommunikationseinheit KE kann ein Mechanismus nach IETF (IETF 
- International Engineering Task Force) RFC (RFC - Request 

25 For Comments) 3310 "Hyper Text Transfer Protocol (HTTP) Di- 
gest Authentif ication Using Authentif ication And Key Agree- 
ment (AKA)", siehe www.ietf.org, verwendet werden. Dazu wird 
in die Anf ragenachricht AN eine Informations zeile mit einem 
Namen "Authorization" eingefugt. Diese umfasst unter anderem 

30 auch Inf ormationen uber eine Nutzeridentitat NID. 



1 . 3 Nutzeridentitat 

Eine Nutzeridentitat NID stellt eine eindeutige Kennzeichnung 
einer bestimmten Kommunikationseinheit, z.B. der Kommunikati- 
35 onseinheit KE, dar. Aufgrund der Inf ormationszeile mit dieser 
Nutzidentitat NID kann das zweite Netzwerkelement NW2 in ei- 
nem ersten Entscheidungsschritt Al feststellen, zu welchem 
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Netzwerk, z.B. dem Heimnetzwerk HN, die Kommunikationseinheit 
KE gehort. AuJ&erdem wird f estgestellt , ob das zweite Netz- 
werkelement NW2 bereits eine oder rnehrere Authentif izierung- 
sinformationen fur die anfragende Kommunikationseinheit KE 
gespeichert hat. Da das zweite Netzwerkelement NW2 noch iiber 
keine derartigen Authentif izierungsinf ormationen verfugt, 
leitet daher das zweite Netzwerkelement NW2 die Anfragenach- 
richt AN an die dritte Netzwerkeinheit NW3 weiter. Es wird 
davon ausgegangen, dass die dritte Verbindung V3 gesichert 
ist und kein Dritter die Moglichkeit hat, Nachrichten abzu- 
fangen, zu verandern oder zu lesen. 

1 . 4 Nutzungsinf ormation 

Im folgenden Schritt erfragt das dritte Netzwerkelement NW3 
mit einer dritten Nachricht N3, die die Nutzeridentitat NID 
umfasst, bei der Datenbank HSS vorzugsweise folgende Nut- 
zungsinf ormationen NI fur die Kommunikationseinheit KE ab: 

- Ein oder rnehrere zweite Schliissel SP2, die zu Authentif i- 
zierung und Verschlusselung von Nachrichten fur die Kommu- 
nikationseinheit KE von dem zweiten Netzwerkelement NW2 be- 
nutzt werden sollen; 

- Eine Herausf orderung HEF, die zur Authentif izierung durch 
die Kommunikationseinheit KE benutzt werden soil, siehe 
beispielsweise IETF RFC 3310; 

- Eine oder rnehrere Filteranweisungen FW. 

Im Folgenden wird angenommen, dass lediglich ein zweiter 
Schliissel SP2 von der Datenbank DB abgefragt wird. 

1 . 5 Filteranweisung 

Diese Filteranweisungen FW umfassen insbesondere eine oder 
rnehrere der folgenden Kriterien: 

- Eine oder rnehrere positive Empf anger adres sen PEA, die von 
der Kommunikationseinheit KE adressierbar sind; 

- Eine oder rnehrere negative Empf angeradres sen NEA, die von 
der Kommunikationseinheit KE nicht adressierbar sind; 

- Eine oder rnehrere zu protokollierende Empf angeradres sen 
XEA, die von der ersten Netzwerkeinheit NE1 protokolliert 
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werden sollen. In Figur 1 wird die Protokollierung durch 
das zweite Netzwerkelement NW2 durchgef uhrt . 

Mit Hilfe dieser Filteranweisungen FW wird es dem zweiten 
5 Netzwerkelement NW2 ermoglicht, den Zugang der Kommunikati- 
onseinheit KE auf eine oder mehrere bestimmte Empf angerdres- 
sen EA im of f entlichen, paket-orientierten Netzwerk PN zu be- 
schranken. Zusatzlich konnen diese Filteranweisungen FW auch 
dazu verwendet werden, dem zweiten Netzwerkelement NW2 mitzu- 

10 teilen, Zugriffe auf bestimmte Empf angerdres sen EA separat 
von anderen Zugriffen zu erf as sen. Da einer Kommunikations- 
einheit KE mehrere Nutzeridentitaten NID zugeordnet sein kon- 
nen, konnen eine oder mehrere Filteranweisungen FW explizit 
einer bestimmten Nutzeridentitat NID zugeordnet werden. So 

15 ist zweckmaBigerweise jeweils eine Nutzeridentitat NID je- 
weils einer Applikation AP zugeordnet. 

Mit Hilfe einer vierten Nachricht N4 werden diese Nutzungsin- 
formationen NI von der Datenbank HSS an das dritte Netzwerk- 

2 0 element NW3 ubertragen. Das dritte Netzwerkelement NWS sendet 
im Folgenden diese Nutzungsinf ormationen NI in einer funften 
Nachricht N5 an das zweite Netzwerkelement NW2 . Fur den Fall, 
dass dafur das HTTP-Protokoll verwendet wird, wird diejenige 
Nutzungsinf ormation NI, die zur Herausf orderung HEF der Kom- 

25 munikationseinheit KE bestirnmt ist, in eine Inf ormationszeile 
mit einem Namen "WWW -Authenticate" eingefugt, siehe IETF RFC 
3310 und IETF RFC 2 617 "HTTP Authentif ication : Basic and Di- 
gest Access Authentif ication" . In analoger Weise werden alle 
zweiten Schliissel, die zur Verschltisselung, zur Authentifi- 

30 zierung und zur Sicherung der Integritat benotigt werden, be- 
handelt. Zusatzlich kann in dieser funften Nachricht N5 eine 
zu erwartende Antwort AEH auf die Herausf orderung HEF enthal- 
ten sein. Dies ermoglicht dem zweiten Netzwerkelement NW2, 
eine von der Koramunikationseinheit KE aufgrund der Herausfor- 

35 derung HEF gesendeten Antwort AGH bezuglich ihrer Richtigkeit 
mit der erwarteten Antwort AEH zu priifen. In diesem Fall ist 
die Weiterleitung dieser Antwort AGH an das dritte Netzwerk- 
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element NW3 zur Uberpriifung der Echtheit nicht mehr notwen- 
dig. 

Eine oder mehrere Filteranweisungen FW konnen in einem neuen 
5 Typ von Nachrichtenkorper in dieser funften Nachricht N5, die 
beispielsweise unter Verwendung des HTTP-Protokolls in Form 
einer HTTP-Nachricht gebildet wird, enthalten sein. Dieser 
neue Typ von Nachrichtenkorper ist uber eine eindeutige Be- 
schreibung identif izierbar . Dies ist in der Praxis zweckma- 
10 Big, da diese eindeutige Beschreibung in der eigentlichen 
HTTP-Nachricht in einer Informations zeile mit einem Namen 
"Content-Type" enthalten ist, die beispielsweise nach dem 
Standard IETF RFC 2045 "Multipurpose Internet Mail Extensions 
(MIME) Part One: Format of Internet Message Bodies" gebildet 
15 wird. Dadurch wird es dem zweiten Netzwerkelement NW2 ermog- 
licht, lediglich anhand dieser eindeutigen Beschreibung den 
Inhalt der HTTP-Nachricht f estzustellen, beispielsweise ob 
Filteranweisungen FW darin enthalten sind. 

Figur 3 zeigt beispielhaft die Struktur mehrerer Filteranwei- 
sungen FW, die in einem Nachrichtenkorper NK enthalten sind. 
Dieser Nachrichtenkorper NK umfasst jeweils zwei Listen Lll, 
L12 bzw. L21, L22 fur jede Nutzeridentitat NIDI bzw. NID2 . 
Die jeweilige erste Liste Lll bzw. L21 der jeweiligen Nutzer- 
identitat NIDI bzw. NID2 umfasst eine Liste von zu protokol- 
lierenden Empf angeradressen XEA. Die jeweilige zweite Liste 
L12 bzw. L22 der jeweiligen Nutzeridentitat NIDI bzw. NID2 
gibt eine oder mehrere negative Empf angeradressen NEA an, die 
von der Kornmunikationseinheit KE nicht adressierbar sind 
und/oder eine oder mehrere positive Empf angeradressen PEA, 
die von der Kornmunikationseinheit KE adressierbar sind. 

Nach Empfang der funften Nachricht N5 entnimmt das zweite 
Netzwerkelement NW2 in einem zweiten Schritt A2 den zweiten 
35 Schliissel SP2 aus der Inf ormationszeile mit einem Namen "WWW- 
Authenticate" . Anhand der Inf ormationszeile mit einem Namen 
"Content-Type" erkennt das zweite Netzwerkelement NW2, dass 
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im Nachrichtenkorper NK eine oder mehrere Filteranweisungen 
FW enthalten sind, und entnimmt dies ebenf alls . Anschliefiend 
ubermittelt das zweite Netzwerkelement NW2 diese modif izierte 
fiinfte Nachricht N5 als sechste Nachricht N6 an die Kommuni- 
5 kationseinheit KE . Die Kommunikationseinheit KE entnimmt im 
Folgenden die Herausf orderung HEF aus der Informations zeile 
mit einem Namen "WWW- Authenticate" . Mit Hilfe einer oder meh- 
rerer, auf einer SIM-Karte (SIM - Subscriber Identication Mo- 
dule) der Kommunikationseinheit KE gespeicherten Informatio- 
10 nen, wird nun ein passender erster Schlussel SPl berechnet, 

der fur die Verschlusselung der Nachrichten zwischen der Kom- 
munikationseinheit KE und dem zweiten Netzwerkelement NW2 so- 
wie fur die Authentif izierung und Sicherung der Integritat, 
verwendet werden kann. Der erste Schlussel SPl und der dazu- 
15 gehorige zweite Schlussel SP2 bilden ein zusarnmengehoriges 

Schlusselpaar SCP. Aufterdem berechnet die Kommunikationsein- 
heit KE mit Hilfe des ersten Schllissels SPl die Antwort AGH 
auf die Herausf orderung HEF. 

1,6 Modif izierte Anf ragenachricht 

In einem nachsten Schritt schickt die Kommunikationseinheit 
KE eine modifizierte Anf ragenachricht ANM an das zweite Netz- 
werkelement NW2 . Fur den Fall, dass fur die modifizierte An- 
f ragenachricht ANM die HTTP-Syntax verwendet wird, entspricht 
diese modifizierte Anf ragenachricht ANM einem HTTP-Request. 
Diese modifizierte Anf ragenachricht ANM umfasst sowohl die 
Empf angeradresse EA, von der der Kommunikationseinheit KE 
Nutzdaten ND zugesandt werden sollen, als auch eine Informa- 
tionszeile mit einem Namen "Authorization". Diese Informati- 
ons zeile enthalt neben der Nutzeridentitat NID auch die Ant- 
wort AGH auf die Herausf orderung HEF. 

Nach Empfang der modif izierten Anf ragenachricht ANM iiberpruft 
das zweite Netzwerkelement NW2 in einem dritten Entschei- 
35 dungsschritt A3 anhand der in der Inf ormationszeile mit einem 
Namen "Authorization" enthaltenen Nutzeridentitat NID, ob das 
zweite Netzwerkelement NW2 bereits Authentif izierungsinf orma- 
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tionen fur diese Konuuunikationseinheit KE gespeichert hat. 
Dies ist nun nach Durchlaufen der vorherigen Schritte dieses 
Ausfuhrungsbeispiels gegeben. Daher entnimmt das zweite Netz 
werkelement NW2 der modif izierten Anf ragenachricht ANM die 
Informationszeile mit einem Namen "Authorization". Mit Hilfe 
der im zweiten Netzwerkelement NW2 gespeicherten zweiten 
Schliissel SP2 wird in einem nachsten Schritt die Richtigkeit 
der Antwort AGH auf die Herausf orderung HEF uberpruf t . Falls 
die uberrnittelte Antwort AGH nicht korrekt ist,, wird die mo- 
dif izierte Anf ragenachricht ANM mittels einer zehnten Nach- 
richt N10 abgewiesen. Ergibt diese Uberpruf ung eine korrekte 
Ubereinstimmung mit der erwarteten Antwort AEH auf die Her- 
ausforderung HEF, so wird in einem vierten Entscheidungs- 
schritt A4 gepruft, ob die in der modif izierten Anf ragenach- 
richt ANM enthaltene Empf angeradresse EA fur die Kommunikati 
onseinheit KE adressierbar ist. Fur den Fall, dass diese Emp 
f angeradresse EA mit einer negativen Empf angeradresse NEA u- 
bereinstimmt, wird die modifizierte Anf ragenachricht ANM zur 
Ubermittlung von Nutzdaten ND abgelehnt. Dies wird der Kommu 
nikationseinheit KE mittels einer zehnten Nachricht N10 mit- 
geteilt. Alternativ kann anstelle der Uberpruf ung der Empf an- 
geradresse EA mit Hilfe von mindestens einer negativen Ernp- 
f angeradresse NEA, die Prufung anhand von mindestens einer 
positiven Empf angeradresse PEA stattfinden. Hierbei wird ge- 
pruft, ob die Empf angeradresse EA einer positiven Empfanger- 
adresse PEA entspricht. Falls dies nicht zutrifft, wird die 
modifizierte Anf ragenachricht ANM abgelehnt. 

1 . 7 Protokollierung 

Fur den Fall, dass die Empf angeradresse EA adressierbar ist, 
wird weiterhin gepriift, ob die Empf angeradresse EA einer zu 
protokollierenden Empf angeradresse XEA entspricht, fur die 
das zweite Netzwerkelement NW2 die Datenmenge separat erfas- 
sen soil. Ist dies der Fall, wird ein neuer erster Datensatz 
DS1 zum Datenauf kommen im zweiten Netzwerkelement NW2 ange- 
legt, der vorzugsweise mindestens folgende Datensatzelemente 
umf asst : 
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- Eindeutige Identitat des Datensatzes; 

- Empfangeradresse EA, auf die die Kommunikationseinheit KE 
zugreif t; 

- Datenmenge; 

- Anzahl der Zugriffe auf diese Empfangeradresse EA. 

Entspricht die Empfangeradresse EA keiner zu protokollieren- 
den Empfangeradresse XEA, so wird ein neuer zweiter Datensatz 
DS2 zum Datenauf koramen angelegt, der vorzugsweise folgende 
Datensatzelemente umfasst : 

- eindeutige Identitat des Datensatzes ; 

- Datenmenge - 

Dieser zweite Datensatz DS2 bzw. das Datensatzelement mit der 
Angabe der Datenmenge wird i miner dann aktualisiert, wenn zwi- 
schen der Kommunikationseinheit KE und einer Empf angeradres- 
sen EA eine oder mehrere Nachrichten, die moglicherweise 
Nutzdaten ND umfassen, ausgetauscht werden, die laut entspre- 
chender Filteranweisung FW keiner zu protokollierenden Emp- 
fangeradresse XEA entsprechen. 

Alle ersten bzw. zweiten Datensatze DS1 bzw. DS2 werden in 
einer Protokolldatei PD auf einem Speicherelement SM gespei- 
chert . 

AnschlieBend wird aus der modif izierten Anf ragenachricht ANM 
eine achte Nachricht N8 generiert, die an eine nachgeschalte- 
te zweite Netzwerkeinheit NW2 bzw. an eine durch die Empfan- 
geradresse EA adressierte Einheit weitergeleitet wird. Diese 
zweite Netzwerkeinheit NE2 befindet sich im of f entlichen, pa- 
ket-orientierten Netzwerk PN. Die Antwort auf diese achte 
Nachricht N8, in Figur 2 als neunte Nachricht N9 realisiert, 
wird nach Empfang durch das zweite Netzwerkelement NW2 dem 
entsprechenden Datensatz DS1 bzw. DS2 zugeordnet, mit dem be- 
reits die modifizierte Anf ragenachricht ANM protokolliert 
wurde. Im Anschluss daran wird durch das zweite Netzwerkele- 
ment NW2 die neunte Nachricht N9 mittels einer siebten Nach- 
richt N7 an die Kommunikationseinheit KE weitergeleitet. 
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1.8 Auswertung der Protokolldatei 

Zu einem spateren Zeitpunkt kann das zweite Netzwerkelement 
NW2 die Protokolldatei PD uber eine achte Verbindung V8 mit- 
5 tels einer Protokollnachricht PDN an eine Auswerteeinheit 
AWE, beispielsweise eine Vergebuhrungss telle, weiterleiten . 
Diese Auswerteeinheit AWE wertet einen oder mehrere erste 
bzw. zweite Datensatze DS1 bzw. DS2 der Protokolldatei PD 
aus, urn daraus beispielsweise eine Rechnung fur die Kommuni- 
10 kationseinheit KE zu erstellen. 

Aufterdem konnen ein oder mehrere erste bzw. zweite Datensatze 
DS1 bzw. DS2 zum Datenaufkommen durch die Auswerteeinheit AWE 
derart ausgewertet werden, dass daraus Steuerinf ormationen 
15 zur Optirnierung des Datenverkehrs innerhalb eines oder mehre- 
rer Netzwerke, wie beispielsweise fur das Heimnetzwerk HN, 
generiert werden konnen. 

Das Verwenden von Filteranweisungen FW ist in diesem Zusam- 

2 0 rnenhang vorteilhaft, da dies eine Vergebuhrung in Abhangig- 
keit vom ubertragenen Inhalt, z.B. von den Nutzdaten ND, er- 
rnoglicht. So konnen Zugriffe auf einen Presence-Server sepa- 
rat erfasst werden, in dem die Adresse des Presence-Servers 
gefiltert wird. Es ist aufterdem fur die Praxis vorteilhaft, 

25 dass die Vergebuhrung nicht von dem darunter liegenden Trans- 
portnetzwerk, wie beispielsweise GPRS, abhangig ist. Das 
Erstellen von Datensatzen, wie z.B. dem ersten Datensatz DS1, 
zum Erf as sen des Datenauf kommens geschieht lediglich in einem 
Netzwerkelement vom Typ Daten-Gateway, wie im Ausf uhrungsbei- 

30 spiel in dem zweiten Netzwerkelement NW2 . Ein darunter lie- 

gendes GPRS-Transportnetzwerk wird moglicherweise die Verbin- 
dung zwischen der Kommunikationseinheit KE und dem ersten 
Netzwerkelement NW1, das direkt zum zweiten Netzwerkelement 
NW2 fuhrt, gebuhrenfrei anbieten. Die Vergebuhrung lauft dann 

35 auch im Fall von GPRS lediglich iiber das zweite und/oder 

dritte Netzwerkelement NW2 bzw. NE3. Das GPRS-Transportnetz- 
werk muss dadurch keine Vergebuhrungsfunktion bereitstellen . 



WO 2005/084058 



PCT/EP2005/050190 



15 

1 - 9 Erweiterungen und Variationen 

Eine mogliche Erweiterung des Ausf iihrungsbei spiels wird mit 
Hilfe von Figur 1 und Figur 2 naher erlautert . Hierzu wird 
5 zunachst eine zusatzliche modif izierte zweite Verbindung V2M 
zwischen dem ersten Netzwerkelernent NWl und dem zweiten Netz- 
werkelement NW2 in die Architektur von Figur 1 eingef ugt . 
Diese modif izierte zweite Verbindung V2M ermoglicht dem zwei- 
ten Netzwerkelernent NW2 dem ersten Netzwerkelernent NW1 mitzu- 

10 teilen, wenn dieses die erste Verbindung VI zwischen der Kom- 
munikationseinheit KE und dem ersten Netzwerkelernent NWl 
trennen soli. Schlagt beispielsweise die Authentif izierung 
der Kommunikationseinheit KE fehl, so kann das zweite Netz- 
werkelernent NW2 das erste Netzwerkelernent NWl anweisen, die 

15 erste Verbindung VI zu trennen und somit die durch diese ers- 
te Verbindung VI belegte Funkressource wieder freizugeben. 
Dazu sendet das zweite Netzwerkelernent NW2 nach Ubermittlung 
der zehnten Nachricht N10 eine zwolfte Nachricht N12 an das 
erste Netzwerkelernent NWl, urn damit das erste Netzwerkelernent 

20 NWl aufzufordern die erste Verbindung VI zu trennen. Die 

zwolfte Nachricht N12 beinhaltet eine eindeutige Identifizie- 
rung der zu trennenden Verbindung, wie zum Bei spiel die erste 
Verbindung VI . 

25 GemalJ einer Erweiterung des erf indungsgemafien Verfahrens ver- 
gibt das erste Netzwerkelernent NWl bei Beginn der Konfigura- 
tion einer neuen Kommunikationsverbindung eine Verbindungs- 
identitat V1D. Die Konf iguration einer Kommunikationsverbin- 
dung bedeutet hierbei das Aufbauen einer oder mehrerer Ver- 

30 bindungen zwischen den jeweiligen Netzwerkelementen NEE und 
der Kommunikationseinheit KE, damit diese Kommunikationsein- 
heit KE eine oder mehrere Anf ragenachrichten AN an eine zwei- 
te Netzwerkeinheit NW2 s chicken kann. Es konnen mehrere Kom- 
munikationsverbindungen gleichzeitig fur eine Kommunikations- 

35 einheit KE bestehen. Beispielsweise bestehen gleichzeitig fur 
jeweils drei verschiedene Nutzeridentitaten NID einer Kommu- 
nikationseinheit KE jeweils drei verschiedene Kommunikations- 
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verbindungen. Diese Verbindungsidentitat VID identif iziert 
eindeutig eine Verbindung zwischen dem erst en und zweiten 
Netzwerkelement NW1 bzw. NW2 dieser neuen Kommunikat ions ver- 
bindung. Mit Hilfe der IP-Adresse (IP - Internet Protocol) 
der KoraiTiunikationseinheit KE und dieser Verbindungsidentitat 
VID ist auch die Verbindung zwischen der Kommunikationsein- 
heit KE und dem ersten Netzwerkelement NWl eindeutig identi- 
f izierbar . 

Das erste Netzwerkelement NWl ubermittelt diese Verbindungs- 
identitat VID zusamrnen mit der IP-Adresse IPA der Kommunika- 
tionseinheit KE in einer elften Nachricht Nil dem zweiten 
Netzwerkelement NW2 mit. Das zweite Netzwerkelement NW2 quit- 
tiert den Empfang der elften Nachricht Nil mit einer vier- 
zehnten Nachricht N14. Diese Realisierungsvariante ist vor- 
teilhaft, da diese lediglich eine weitere Signalisierung zwi- 
schen dem ersten und zweiten Netzwerkelement NWl bzw. NW2 er- 
fordert. Die eindeutige Identif izierung dieser Kommunikati- 
onsverbindung ist somit dem ersten und zweiten Netzwerkele- 
ment NWl bzw. NW2 bekannt. Dies ist in der Praxis zweckmaJ&ig, 
da eine Kommunikationseinheit KE mehrere Kommunikationsver- 
bindung mit einem ersten Netzwerkelement NWl unter derselben 
IP-Adresse IPA besitzen kann. Gibt das zweite Netzwerkelement 
NW2 die IP-Adresse IPA und die Verbindungsidentitat VID in 
der zwolften Nachricht N12 an, so erkennt das erste Netzwerk- 
element NWl eindeutig, welche Kommunikations verbindung bzw. 
Verbindung zwischen der Kommunikationseinheit KE und dem ers- 
ten Netwerkelement NWl zu trennen ist. Das erste Netzwerkele- 
ment NWl quittiert den Empfang der zwolften Nachricht N12 
mittels einer dreizehnten Nachricht N13. 

Die zusatzliche Signalisierung mit der elften und vierzehnten 
Nachricht Nil bzw. N14 kann auBerdem noch dazu genutzt wer- 
den, eine GPRS - Vergebuhrungs information an das zweite Netz- 
werkelement NW2 zu senden. Das zweite Netzwerkelement NW2 
kann die GPRS - Vergebuhrungs information zu einem oder mehre- 
ren Datensatzen DS1 bzw. DS2 des zweiten Netzwerkelementes 
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NW2 hinzufiigen und diese an die Auswerteeinheit AWE ubermit- 
teln. Die Auswerteeinheit AWE kann die Datensatzen DS1 bzw. 
DS2 mit der Vergebuhrungs information des GPRS - Transport- 
netzwerks, zum Beispiel mit einer Vergebuhrungs f unktion, kor- 
5 relieren und daraus eine Abrechung der Verbindungsgebuhren 
fiir die Kommunikationseinheit KE erstellen. 

Alternativ zur Verwendung einer Verbindungsidentitat VID kann 
ein IPSec-Tunnel IIP (IPSec - Internet Protocol Security) be- 

10 nutzt werden. Beispielsweise kann dies mittels der Verwendung 
der IPSec-Technologie wie in IETF RFC 2401 , "Security Archi- 
tecture for the Internet-Protocol" geschehen. Diesern IPSec- 
Tunnel IIP wird eine Identitat zugeordnet. Zur Trennung der 
Verblndung zwischen der Kommunikationseinheit KE und dem ers- 

15 ten Netzwerkelement NWl ubertragt das zweite Netzwerkelement 
NW2 dem ersten Netzwerkelement NWl lediglich diese Identitat 
des IPSec-Tunnels IIP. Diese Identitat ist im ersten als auch 
zweiten Netzwerkelement NWl bzw. NW2 eindeutig bekannt. Das 
erste Netzwerkelement NWl kennt die Abb il dung der Identitat 

2 0 des IPSec-Tunnels IIP zu der dazugehorigen Verbindung zwi- 
schen dem ersten Netzwerkelement NWl und der Kommunikations- 
einheit KE . 

Fur diese Losung wird jewells ein IPSec-Tunnel zwischen dem 
25 ersten und zweiten Netzwerkelement NWl bzw. NW2 fur jede Kom- 
munikationsverbindung einer Kommunikationseinheit KE bereit- 
gestellt. Diese Alternative ist in der Praxis zweckmafiig, da 
keine zusatzliche Signalisierung benotigt wird, um dem zwei- 
ten Netzwerkelement NW2 diese Identitat des IPSec-Tunnels 
30 mitzuteilen. Die elfte bzw. vierzehnte Nachricht Nil bzw. N14 
werden hierbei nicht benotigt. 

Nach erf olgreicher Trennung der ersten Verbindung VI zwischen 
der Kommunikationseinheit KE und dem ersten Netzwerkelement 
35 NWl, die durch die zwolfte Nachricht N12 durch das zweite 

Netzwerkelement NW2 veranlasst wurde, schickt das erste Netz- 
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werkelement NW1 eine Bestatigungsnachricht N13 an das zweite 
Netzwerkelement NW2 zuriick. 

2. Zweites Ausfuhrungsbeispiel 
5 2 , 1 Vorrichtung und Auf ban 

In einem weiteren Ausf iihrungsbei spiel wird eine Alternative 
zur Authentif izierung und Sicherung der Integritat einer Kom- 
munikationseinheit KE rnit Hilfe eines zweiten Netzwerkelemen- 
tes NW2 beschrieben. Ein zweites Netzwerkelement NW2 kann in 

10 Form eines Daten-Gateways realisiert werden . In Figur 4 ist 
eine mogliche Vorrichtung zur Durchfuhrung dieses Ausftih- 
rungsbeispiels dargestellt. Die Kommunikationseinheit KE be- 
findet sich in einem besuchten Netzwerk VN. Eine Oder mehrere 
Nachrichten konnen mit Hilfe der SIP-Syntax (SIP-Session Ini- 

15 tiation Protocol) gebildet werden, siehe IETF RFC 32 61, "SIP 
Initiation Protocol" . 

Die Kommunikationseinheit KE ist mit einem ersten Netzwerk- 
element NWl im gesuchten Netzwerk VN uber eine erste Verbin- 

2 0 dung VI verbunden. Diese erste Verbindung VI wird mit Hilfe 

der Prozedur mit einem Namen XX PDP Context Activation Procedu- 
re" aufgebaut, wie sie in 3GPP TS 23.06.0 Version 5.3.0 be- 
schrieben ist. Somit wird diese erste Verbindung VI mit einem 
ersten PDP-Kontext realisiert. Wahrerid des Aufbaus dieser 

25 ersten Verbindung VI wird festgelegt, dass diese lediglich 
fur den Austausch von Nachrichten zwischen der Kommunikati- 
onseinheit KE und dem zweiten Netzwerkelement NW2 verwendet 
werden darf . Alle Nachrichten, die auf dieser ersten Verbin- 
dung VI gesendet werden, werden automatisch von dem ersten 

30 Netzwerkelement NWl uber eine zweite Verbindung V2 an ein 

zweites Netzwerkelement NW2 weitergeleitet . Das zweite Netz- 
werkelement NW2 hat eine vierte Verbindung V4 in ein offent- 
liches, paket-orientiertes Netzwerk PN. Zusatzlich hat das 
zweite Netzwerkelement NW2 eine dritte Verbindung V3 zu einem 

35 SIP-Proxy PCS. Dieser SIP-Proxy PSC befindet sich dabei immer 
im gleichen Netzwerk wie das erste Netzwerkelement NWl, in 
diesem Ausf uhrungsbeispiel also im besuchten Netzwerk VN. 
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Aufierdem wird mit Hilfe der Prozedur mit dem "Namen PDP Con- 
text Activation Procedure' 7 eine weitere Verbindung mit einem 
Namen funfte Verbindung V5 zwischen der Kommunikationseinheit 
5 KE und dear ersten Netzwerkelement NWl aufgebaut. Diese funfte 
Verbindung* V5 wird mittels eines zweiten PDP-Kontexts reali- 
siert. Diese funfte Verbindung V5 wird hauptsachlich fur den 
Austausch von SIP-Nachrichten verwendet . AuBerdem ist das 
erste Netzwerkelement NWl uber eine sechste Verbindung V6 mit 

10 dem SIP-Proxy PCS verbunden, der zusatzlich eine siebente 
Verbindung V7 zu dem zweiten SIP-Proxy SCS unterhalt. Uber 
die funfte und sechste Verbindung V5 bzw. V6 werden lediglich 
Nachrichten ohne Nutzdaten ND zwischen der Kommunikationsein- 
heit KE und dem SIP-Proxy PCS ausgetauscht . Der zweite SIP- 

15 Proxy SCS i>efindet sich immer im Heimnetz HN der Kommunikati- 
onseinheit KE und hat unter anderem die Funktion eines SIP- 
Registrars, siehe IETF RFC 3261, "SIP Initiation Protocol". 
Der zweite SIP-Proxy SCS verfugt iiber eine zehnte Verbindung 
V10 mit der Datenbank HSS . Urn SIP-Nachrichten auch mit einer 

20 oder mehreren Kommunikationseinheit en KE im of fent lichen, pa- 
ket-orientierten Netzwerk PN auszutauschen, ist der zweite 
SIP-Proxy SCS mit einer neunten Verbindung V9 mit diesem 6f- 
fentlichen, paket-orientierten Netzwerk PN verbunden. 

25 Mit Hilfe von Figur 5 werden die Nachrichten zum Austausch 

fur die Authentif izierung und Sicherung der Integritat sowie 
Verteilung eines oder mehrerer Schlussel gemafi diesem Ausflih- 
rungsbeispiel naher erlautert. Zur Benutzung eines oder meh- 
rerer IMS-Dienste (IMS - IP Multimedia Subsystem) registriert 

30 sich eine Kommunikationseinheit KE zunachst im IMS-Netz. Der 
Ablauf zur Registrierung ist in den Dokumenten IETF RFC 32 61 
und 3GPP TS 2 4.229, Version 5.2.0, "IP Multimedia Call 
Control Protocol based on SIP and SDP" detailliert beschrie- 
ben. Zusatzlich sind in dem Dokument 3GPP TS 24.228 "Signa- 

35 ling Flows for the IP Multimedia Call Control based on SIP 
and SDP" Beispiele fur den Nachrichtenaustausch zu finden. 
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2 . 2 Anfragenachricht 

Die Kommunikationseinheit KE sendet fur die Registrierung zu- 
nachst eine Anfragenachricht AN mit einem Namen "Register" 
uber die funfte und sechste Verbindung V5 bzw. V6 an den SIP- 
5 Proxy PCS . Dieser leitet diese Anfragenachricht AN an den 
zweiten SIP-Proxy SCS im Heimatnetzwerk HN mittels einer 
zweiten Nachricht N2 weiter. Sowohl die Anfragenachricht AN 
als aiach die zweite Nachricht N2 enthalten die Nutzeridenti- 
tat NID. Die fur die Authentif izierung zu verwendende Nutzer- 
10 identitat NID ist, wie in den Dokumenten IETF RFC 3310 und 
IETF RFC 2 617 beschrieben, in der jeweiligen Nachricht AN 
bzw. N2 in einer Informations zeile mit einem Namen "Authori- 
zation" enthalten . 

15 2 . 3 Nutzungsinf ormation 

Aufgrund dieser Nutzeridentitat NID erfragt der zweite SIP- 
Proxy SCS nun mit Hilfe einer dritten Nachricht N3 eine oder 
mehrere Nutzungsinf ormationen NI von der Datenbank HSS ab. 
Fur d±e weitere Betrachtung wird zwischen zwei verschiedenen 

20 zweiten Schlusseln SP2P und SP2N unterschieden . Der eine 

zweite Schlussel wird im Folgenden als zweiter Proxy-Schlus- 
sel SP2P bezeichnet. Dieser umfasst mindestens einen Schlus- 
sel zu.r Authentif izierung und Sicherung der Integritat sowie 
zur Verschlusselung der Verbindung zwischen der Kommunikati- 

25 onseinheit KE und dem SIP-Proxy PCS und ist fur den SIP-Proxy 
PCS bestimmt. Der andere zweite Schlussel wird im Folgenden 
als zweiter Netzwerkschliissel SP2N bezeichnet. Dieser umfasst 
mindestens einen Schlussel zur Sicherung der Integritat und 
fur die Verschllisselung der Verbindung zwischen der Kommuni- 

30 kationseinheit KE und dem zweiten Netzwerkelement NW2 und ist 
fur das zweite Netzwerkelement NW2 bestimmt. Im Folgenden 
wird davon ausgegangen, dass genau ein zweiter Netzwerk- 
schliissel SP2N und ein zweiter Proxy-Schlussel SP2P existie- 
ren. Nach Empfang der dritten Nachricht N3 antwortet die Da- 

35 tenbank HSS mit einer vierten Nachricht N4, die eine oder 

mehrere Nutzungsinf ormationen NI enthalt. Eine oder mehrere 
Nutzungsinf ormationen NI umfassen hierbei den zweiten Proxy- 
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Schlussel SP2P und die Herausf orderung HEF, die zur Authenti- 
fizierung an die Konimunikationseinheit KE in einem spateren 
Schritt iibermittelt wird. Der zweite SIP-Proxy SCS sendet nun 
diese Nutzungsinformationen NI in einer funften Nachricht N5 
5 mit einem Namen "401 Unauthorized" an den SIP-Proxy PCS. Die- 
se fiinfte Nachricht N5 umfasst sowohl den zweiten Proxy- 
Schliissel SP2P als auch die Herausf orderung HEF, die beide 
zur Authentif izierung der Koinmunikationseinheit KE zwischen 
der Koinmunikationseinheit KE und dem zweiten SIP-Proxy SCS 

10 verwendet werden. Der zweite Proxy-Schlussel SP2P als auch 
die Herausf orderung HEF werden gemafi der Dokumente IETF RFC 
3310 und IETF RFC 2 617 in eine Inf ormationszeile mit einem 
Namen ^WWW-Authenticate" in der funften Nachricht N5 einge- 
fugt. Der SIP-Proxy PCS entnimmt der flinften Nachricht N5 den 

15 Proxy-Schlussel SP2P zur Sicherung der Integritat und Ver- 

schlusselung und sendet diese modifizierte Nachricht in Form 
einer sechsten Nachricht N6 an die Kommunikationseinheit KE 
weiter. Die Koinmunikationseinheit KE generiert nun aufgrund 
der Inf ormationen in der Herausf orderung HEF einen ersten 

20 Schlussel, der im Folgenden als erster Proxy-Schlussel SP1P 
bezeichnet wird, und. der zur Sicherung der Integritat und 
Verschliisselung eingesetzt wird. AuBerdem erstellt die Kommu- 
nikationseinheit KE mit dem ersten Proxy-Schlussel SP1P eine 
Antwort AGH auf die Herausf orderung HEF. 

25 

2.4 Modifizierte Anf ragenachricht 

Anschliefiend sendet die Kommunikationseinheit KE eine modifi- 
zierte Anf ragenachricht ANM mit einem Namen "Register" an den 
SIP-Proxy PCS. Diese modifizierte Anf ragenachricht ANM ent- 

30 halt die Antwort AGH auf die Herausf orderung . Gemaft den Doku- 
menten IETF RFC 3310 und IETF RFC 2 617 enthalt diese modifi- 
zierte Anf ragenachricht ANM diese Antwort AGH in einer Infor- 
mationszeile mit einem Namen "Authorization". Aufierdem wird 
die Integritat dieser modif izierten Anf ragenachricht ANM mit 

35 Hilfe des generierten ersten Proxy-Schliissels SP1P sicherge- 
stellt . 
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Der SIP-Proxy PCS priift nun mit Hilfe des f von dem zweiten 
SIP-Proxy SCS empfangenen, zweiten Proxy-Schliissels SP2P, ob 
die modifizierte Anfragenachricht ANM nach seiner Erstellung 
durch die Kommunika.tionseinheit KE verandert wurde. Wenn sich 
5 nach der Prufung der Integritat herausstellt , dass die Integ- 
ritat in Ordnung ist, sendet der SIP-Proxy PCS diese modifi- 
zierte Anfragenachrricht ANM in Form einer achten Nachricht N8 
an den zweiten SIP— Proxy SCS weiter. 

10 Der zweite SIP-Proxy SCS priift anhand der Antwort AGH auf die 
Herausf orderung HEF, ob die Kommunikationseinheit KE autori- 
siert ist, sich am IMS-Netz zu registrieren . Falls die Uber- 
. prufung ergibt, dass die Kommunikationseinheit KE dazu be- 
rechtigt ist, teilt der zweite SIP-Proxy SCS mit Hilfe einer 

15 neunten Nachricht N9 der Datenbank HSS mit, dass die Kommuni- 
kationseinheit KE nun registriert ist. 

2.5 Weitere Nutzungsinf ormation 

Die Datenbank HSS sendet daraufhin eine oder mehrere weitere 
2 0 Nutzungsinformationen NIW mittels einer zehnten Nachricht N10 
an den zweiten SIP— Proxy SCS. Eine oder mehrere weitere Nut- 
zungsinformationen NIW umfassen beispielsweise den zweiten 
Netz-Schlussel NP2N, der zur Sicherung der Integritat und fur 
die Verschlusselung fur die Verbindung zwischen der Kommuni- 
25 kationseinheit KE und dem zweiten Netzwerkelement NW2 einge- 
setzt wird. Aufterdem sind eine oder mehrere Filteranweisungen 
FW enthalten, die zur Filterung des Nachrichtenverkehrs von 
dem zweiten Netzwerkelement NW2 benutzt werden . Alternativ 
zur Ubermittlung weiterer Nutzungsinformationen NIW mittels 
30 der zehnten Nachricht N10 konnen diese weiteren Nutzungsin- 
formationen NIW bereits mittels einer oder mehrere Nutzungs- 
informationen NI mit der vierten Nachricht N4 ubertragen wor- 
den sein. Eine oder mehrere Filteranweisungen FW werden gemafi 
dem vorherigen Ausf uhrungsbeispiel erstellt. 

35 

In einem nachsten Schritt sendet der zweite SIP-Proxy SCS ei- 
ne elfte Nachricht Nil mit einem Namen "2 00 OK" an den SIP- 
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Proxy PCS- Diese elfte Nachricht Nil umfasst einen oder meh- 
rere zweite Netz-Schlussel SP2N zur Sicherung der Integritat 
und fur die Verschltisselung, die von dem zweiten Netzwerkele- 
ment NW2 verwendet werden. AuBerdem umfasst diese elfte Nach- 
5 richt Nil zusatzliche Inf ormationen, die die Kommunikations- 
einheit KE benotigt, urn ihrerseits einen ersten Netz-Schlus- 
sel SPIN zu berech.net. Jeweils ein erster Netz-Schlussel SPIN 
und jeweils ein zweiter Netz-Schlussel SP2N bilden ein zusam- 
mengehoriges Schliisselpaar SCP zur Sicherung der Verbindung 
10 zwischen dem zweiten Netzwerkelement NW2 und der Kommunikati- 
onseinheit KE. 

Alternativ kann anstelle von unterschiedlichen Schlusseln fur 
die jeweilige Verbindung zwischen der Kommunikationseinheit 
15 KE und dem zweiten Netzwerkelement NW2 und zwischen der Kom- 
munikationseinheit KE und dem SIP-Proxy PCS ein gemeinsames 
Schliisselpaar SCP verwendet werden. 

2 . 6 Nutzeridentitat 

Einer Kommunikationseinheit KE konnen mehrere Nutzeridentita- 
ten NID zugeordnet werden. Hierbei 1st es in einer vorteil- 
haften Erweiterung in der Praxis zweckmaftig, jeweils einem 
oder mehreren Schltissel zusatzlich jeweils eine oder mehrere 
Nutzeridentitaten zuzuordnen, mit denen der jeweilige Schlus- 
sel verwendet werden darf . Das zweite Netzwerkelement NW2 
kann den Austausch von Nachrichten zwischen der Kommunikati- 
onseinheit KE und dem zweiten Netzwerkelement NW2 unter Ver- 
wendung einer bestimmten Nutzeridentitat , wie z.B. die erste 
Nutzeridentitat NIDI, erlauben bzw. unter einer anderen Nut- 
zeridentitat, wie z.B. die erste Nutzeridentitat NID2, abwei- 
sen. So ist die Erstellung unterschiedlicher Nutzerprof ile 
fur eine Kommunikationseinheit moglich. 

Der SIP-Proxy PCS entnimmt der elften Nachricht Nil den zwei- 
35 ten Netz-Schlussel SP2N und alle Filteranweisungen FW. Anhand 
des Namens "2 00 OK" dieser elften Nachricht Nil erkennt der 
SIP-Proxy PCS, dass die Authentif izierung erfolgreich war. 
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Der SlP-Proxy PCS sendet diese modifizierte elfte Nachricht 
Nil als vierzehnte Nachricht N14 an die Kommunikationseinheit 
KE. Mit Hilfe der in dieser vierzehnten Nachricht N14 enthal- 
tenen Inf ormationen berechnet d±e Kommunikationseinheit KE 
5 nun ihrerseits einen ersten Netz-Schlussel SPIN zur Sicherung 
der Integritat und fur die Verschliisselung . Dieser erste 
Netz-Schlussel SPIN wird fur den Nachrichtenaustausch zwi- 
schen der Kommunikationseinheit KE und dern zweiten Netzwerk- 
element NW2 verwendet . Des Weiteren ubergibt der SIP-Proxy 
10 PCS seinen Netz-Schlussel SP2N, sowie alle Filteranweisungen 
FW, mit Hilfe einer zwolften Nachricht N12 an das zweite 
Netzwerkelement NW2 r welches den Empfang mit einer dreizehn- 
ten Nachricht N13 bestatigt. 

15 2 , 7 Nachrichtenaustausch 

Im Folgenden konnen die Kommunikationseinheit KE und die 
zweite Netzwerkelement NW2 Nachricht en gegenseitig austau- 
schen. Dies wird mit Hilfe von Figur 6 naher erlautert. Die 
Kommunikationseinheit KE schickt eine Anf ragenachricht AN an 

20 das zweite Netzwerkelement NW2 . Diese Anf ragenachricht AN 

enthalt die Nutzeridentitat NID und die gewunschte Empf anger- 
adresse EA, von der Nutzdaten ND angefordert werden. Fiir den 
Fall, dass das HTTP-Protokoll verwendet wird, handelt es sich 
bei dieser Anf ragenachricht AN mm einen HTTP-Request. Diese 

25 Anf ragenachricht AN ist mit Hilfe eines ersten Netz- 

Schlussels SPIN zur Sicherung der Integritat gesichert und 
kann verschllisselt sein. Das zweite Netzwerkelement NW2 ist 
in der Lage, mit einem seiner Netzwerk-Schliissel SP2N die 
empfangene Anf ragenachricht AN zu ents chilis seln und zu prti- 

30 fen, ob diese Anf ragenachricht AN nach dem Erstellen durch 

die Kommunikationseinheit KE geandert wurde . Das zweite Netz- 
werkelement NW2 pruft daraufhin, ob die gesendete Nutzeriden- 
titat NID zusaramen mit dem benutzten ersten Netz-Schlussel 
SPIN bzw. dem entsprechenden zweiten Netz-Schlussel SP2N ver- 

35 wenden darf, und somit die Kommunikationseinheit KE autori- 
siert ist, eine oder mehrere Nachrichten zu senden. 
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Irn Falle, dass die Kommunikationseinheit KE zum Senden von 
einer oder mehreren Nachrichten berechtigt ist, priift das 
zweite Netzwerkelement NW2 weiterhin mit Hilfe der von dem 
SIP-Proxy PCS empf angenen Filteranweisungen FW, ob die Kornmu- 
5 nikationseinheit KE unter der von ihr benutzten Nutzeridenti- 
tat NID auf die in der Anf ragenachricht AN enthaltenen Emp- 
f angeradresse EA zugreifen darf . 1st dies der Fall, so leitet 
das zweite Netzwerkelement diese Anf ragenachricht AN in Form 
einer sechzehnten Nachricht N16 an die entsprechende Empf an- 

10 geradresse EA weiter. Aufierdem iiberprlift das zweite Netzwerk- 
element NW2 , ob es eine oder mehrere Datensatze zum Datenauf- 
kommen fur den Zugriff auf d±e gewiinschte Empf angeradresse EA 
anlegen soli. Das Anlegen eines oder mehrere Datensatze ent- 
spricht dabei der Prozedur, wie sie in dem vorhergehenden 

15 Ausf iihrungsbeispiel beschrieben ist. 

Fiir den Fall, dass die Kommunikationseinheit KE nicht autori- 
siert ist, unter der genannten Nutzeridentitat NID Nachrich- 
ten mit dem zweiten Netzwerkelement NW2 auszutauschen oder 

20 unter der genannten Nutzeridentitat NID gemafi einer oder meh- 
rere Filteranweisungen FW nicht auf die gewlinschte Empfanger- 
adresse EA zugreifen darf, sendet das zweite Netzwerkelement 
NW2 eine achtzehnte Nachricht N18 an die Kommunikationsein- 
heit KE zurlick. Diese achtzehnte Nachricht N18 teilt der Kom- 

25 munikationseinheit KE mit, dass diese nicht autorisiert ist, 
unter der genannten Identitat NID auf die genannte Empfanger- 
adresse EA zuzugreifen. 

Schlieftlich konnen ein oder mehrere Datensatze liber eine ach- 
30 te Verbindung V8 zur Auswertung an eine Auswerteeinheit AEW 
ubermittelt werden . 

3. Drittes Ausf iihrungsbeispiel - 

Assoziation von SIP-Signalisierung und Nachrichten 

35 

Gemaii einer Erweiterung des erf indungsgemaJien Verfahrens wird 
im folgenden Ausf iihrungsbeispiel beschrieben, wie eine oder 
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mehrere Nachrichten mit Nutzdaten ND zwischen einer Koitimuni- 
kationseinheit KE und einem zweiten Netzwerkelement NW2 mit 
einer Signalisierungs-Transaktion assoziiert werden konnen . 
Es wird hierzu angenonimen^ dass die Kommanikationseinheit KE 
5 bereits am IMS-Netz registriert ist und s omit sowohl die Au- 
thentif izierung erfolgreich abgeschlossea wurde als auch die 
entsprechenden Schliissel zur Sicherung der Integritat fur die 
Verschliisselung im zweiten Netzwerkelemerxt NW2 und in der 
Kommunikationseinheit KE vorhanden sind. Mit Hilfe von Figur 

10 7 wird der Nachrichtenf luss fur dieses Aiasf iihrungsbeispiel 

naher erlautert. Neben den aus Figur 4 bekannten Netzwerkele- 
menten wird flir dieses Ausf iihrungsbeispiel ein neues Netz- 
werkelement mit einem Namen Anwendungsserver AS eingefiihrt. 
Bei dem Anwendungsserver AS handelt es sich in diesem Ausfiih- 

15 rungsbeispiel um einen Presence-Server. 

Dieser Anwendungsserver AS soli die Kommu-Xiikationseinheit KE 
iiber die Anderung einer Prasenz-Inf ormation einer weiteren 
Kommunikationseinheit, moglicherweise Kommunikationseinheit 

2 0 KE2 , unterrichten. Bei der Verwendung des SIP-Protokolls zur 
Signalisierung, benutzt in diesem Fall der Anwendungsserver 
AS eine SIP-Nachricht mit einem Namen "Notify". Hierbei ist 
es zweckmafiig, dass die SIP-Nachricht mit einem Namen "Noti- 
fy" zusatzlich die aktuellen Prasenz-Informationen PI ent- 

25 halt. Wenn diese Prasenz-Informationen PI sehr groft sind, ist 
es in der Praxis vorteilhaft, diese nicht iiber die gleiche 
Verbindung zu ubermitteln, wie die sonstigen SIP-Nachrichten, 
um damit einen oder mehrere SIP-Proxys, wie zum Beispiel SIP- 
Proxy PCS oder zweiter SIP-Proxy SCS, niclit zu iiberlasten- 

30 Hierzu ist im Dokument "Draf t-IETS-SIP-COlSFTENT-INDIRECT-MECH- 
00", "A mechanism for content indirection in SIP-messages", 
siehe www.ietf.org, ein mogliches Verfahren beschrieben, mit 
dem eine Kommunikationseinheit auf eine Exnpf angeradresse, die 
eine oder mehrere Nutzdaten ND enthalt, uingeleitet wird. Die- 

35 se Nutzdaten ND entsprechen in diesem Aus £ iihrungsbeispiel den 
aktuellen Prasenz-Informationen PI. Dazu ist eine Umleitungs- 
inf ormation UNI in der SIP-Nachricht enthalten. Diese umfasst 
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beispielsweise eine umgeleitete Empf angeradresse UEA, wo die- 
se Prasenz-Informationen PI zu finden sind. AuJierdem gibt sie 
an, mit welcheni Protokoll, zum Beispiel HTTP, diese Prasenz- 
Informationen PI abgefragt werden soil ten. 

Zunachst schickt der Anwendungs server AS mit Hilfe einer ers- 
ten Nachricht Nl an den zweiten SIP-Proxy SCS die Umleitungs- 
information UNI, die auch anzeigt, das s Prasenz-Informationen 
PI einer zweiten Kommunikationseinheit KE2 auf einer umgelei- 
teten Empf angsadresse UEA verfugbar ist. Diese Prasenz- 
Informationen PI sind fur die Kommunikationseinheit KE be- 
st immt . Der zweite SIP-Proxy SCS erweitert diese erste Nach- 
richt Nl mit einer Erf assungsidentitat EI. Die Erf assungs- 
identitat EI identif iziert eindeutig eine SIP-Transaktion, 
also in diesem Fall die Benachrichtigung der Kommunikations- 
einheit KE tiber die Prasenz-Informationen PI der zweiten Kom- 
munikationseinheit KE2. Es ist moglich, diese Erf assungsiden- 
titat EI mit Hilfe einer Informations zeile mit einem Namen 
"Media-Authorization" (siehe IETF RFC 3310) in einer Nach- 
richt zu signalisieren. Diese Erf assungsidentitat EI teilt 
mit, dass diejenigen Nachrichten separat erfasst werden sol- 
len, die aufgrund der in dieser ersten Nachricht Nl enthalte- 
nen Umleitungsinf ormation UNI zwischen der Kommunikationsein- 
heit KE und dem zweiten Netzwerkelement NW2 ausgetauscht wer- 
den sollen. 

Im nachsten Schritt sendet der zweite SIP-Proxy SCS diese er- 
weiterte Nachricht in Form einer zweiten Nachricht N2 an den 
SIP-Proxy PCS. Diese zweite Nachricht U2 umfasst die Umlei- 
tungsinf ormation UNI und die Erf assungsidentitat EI. Weiter- 
hin kann der zweite SIP-Proxy SCS auch die Anzahl der erlaub- 
ten Zugriffe und/oder die Zeitdauer, in der die Zugriffe auf 
die umgeleitete Empf angeradresse UEA erlaubt sind, festlegen. 
AuUerdem legt der zweite SIP-Proxy SCS einen Datensatz DS an, 
der spater fur die Steuerung und Ausweartung des Nachrichten- 
verkehrs verwendet werden kann. Dieser Datensatz DS umfasst 
vorzugsweise folgende Datensatzelemente : 
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- Art der Nachricht vom Anwendungs server AS, zum Beispiel 
SIP-Nachricht vom Typ "Notify" oder "Info"; 

Umgeleitete Ernpf angeradresse UEA, auf die in der jeweili- 
gen Nachricht verwiesen wurde; 
5 - Erf assungsidentitat EI; 
Nutzeridentitat NID; 

Alternativ kann anstelle des zweiten SIP-Proxys SCS auch be- 
reits der Anwendungs server AS einen Datensatz DS anlegen und 
10 die Erf assungsidentitat EI erstellen. 

Der SIP-Proxy PCS leitet die zweite Nachricht N2 in Form ei- 
ner dritten Nachricht N3 an die Kommunikationseinheit KE wei- 
ter. Parallel dazu ubermittelt der SIP-Proxy PCS eine vierte 

15 Nachricht N4 an das zweite Netzwerkelement NW2 . Diese vierte 
Nachricht N4 teilt dem zweiten Netzwerkelement NW2 mit, dass 
es den Nachrichtenverkehr mit der Kommunikationseinheit KE 
separat erfassen soli, falls in den Nachrichten der Kommuni- 
kationseinheit KE die Erf assungsidentitat EI enthalten ist. 

20 Dazu ist die Erf assungsidentitat EI und die umgeleitete Emp- 
fangeradresse UEA, auf die mittels dieser Erf assungsidentitat 
EI zugegriffen werden darf, in der vierten Nachricht N4 ent- 
halten. Dies ist in der Praxis vorteilhaft, da das zweite 
Netzwerkelement NW2 somit die Moglichkeit liat, Nachrichten an 

25 andere Ernpf angeradres sen als der umgeleiteten Ernpf angeradres- 
se UEA unter Zuhilfenahme dieser Erf assungsidentitat EI zu 
unterbinden. AuBerdem ist in der vierten Nachricht N4 die 
Nutzeridentitat NID enthalten, mit der die Kommunikationsein- 
heit KE Nachrichten mit dieser Erf assungsidentitat EI senden 

30 darf. 

Weiterhin kann diese vierte Nachricht N4 eine Wiederholungs- 
information enthalten, die angibt, wie oft die Kommunikati- 
onseinheit KE die Erf assungsidentitat EI verwenden darf. 
35 Falls Nachrichten auf der Verbindung zwischen der Kommunika- 
tionseinheit KE und dem zweiten Netzwerkelement NW2 verloren 
gehen, so kann mit Hilfe dieser Wiederholungsinf ormation an- 
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gegeben werden, wie oft die Kommunikationseinheit KE diese 
Nachricht wiederholt schicken darf . Damit wird eine mehrmali- 
ge Ubermittlung einer bestimmten Nachricht mit derseXben Er- 
fassungsidentitat EI ermoglicht. Dennoch wird die Moglich- 
5 keit, dass eine Kommunikationseinheit KE dieselbe Erfassungs- 
identitat EI fur zusatzliche Nachrichten nutzt, einge- 
schrankt. Diese Wiederholungsinf ormation kann auch bereits 
von dem zweiten SlP-Proxy SCS in der zweiten Nachricht N2 an 
den SIP-Proxy PCS ubergeben werden. 

10 

Der SIP-Proxy PCS und das zweite Netzwerkelement NW2 befinden 
sich immer ira gleichen Netzwerk, beispielsweise in Figur 4 im 
besuchten Netzwerk VN. Wahrenddessen kann sich im Fall von 
"Roaming" der zweite SIP-Proxy SCS in einem anderen Netzwerk 
15 als die Kommunikationseinheit befinden, beispielsweise in Fi- 
gur 4 im Heimnetzwerk HN. Daher hat der SIP-Proxy PCS Kennt- 
nis daruber, welche Art von Verbindung, beispielsweise ver- 
lustbehaftet oder verlustlos , von dem zweiten Netzwerkelement 
NW2 unterstutzt und verwendet wird. 

20 

Das zweite Netzwerkelement NW2 bestatigt nun den Empfang der 
vierten Nachricht N4 mit Hilfe einer funften NachrichLt N5 . 
Die Kommunikationseinheit KE bestatigt den Empfang der drit- 
ten Nachricht N3 mit Hilfe einer sechsten Nachricht NT 6 . Nach 

25 Empfang dieser sechsten Nachricht N6 leitet der SIP-Proxy PCS 
diese Nachricht in Form einer siebten Nachricht N7 zum zwei- 
ten SIP-Proxy SCS weiter, der anschlieiiend diese siet>te Nach- 
richt N7 in Form einer achten Nachricht N8 an den Anwendungs- 
server AS weiterleitet . Damit hat der Anwendungs server AS 

30 Kenntnis, dass die Kommunikationseinheit KE Umleitung-sinf or- 
mationen UNI erhalten hat. 



Anschlieiiend sendet die Kommunikationseinheit KE eine Anfra- 
genachricht AN an das zweite Netzwerkelement NW2, urn eine o- 
35 der mehrere Nutzdaten ND von der in der dritten Nachricht N3 
angegebenen umgeleiteten Empf angeradresse UEA anzufordern. 
Wird fur die Anf ragenachricht AN das HTTP-Protokoll verwen- 
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det, handelt es sich urn einen HTTP-Request. Diese umfasst so- 
wohl die umgeleiteten Empfangeradresse UEA als auch die Nut- 
zeridentitat NID. Diese Nutzeridentitat NID ist in dieser An- 
fragenachricht AN, wie in IETF RFC 3310 und IETF RFC 2 617 be- 
5 schrieben, in der Inf ormationszeile mit einem Namen "Authori- 
zation" enthalten. Zusatzlich wird die Er f as sungs ident it at EI 
in diese Anf ragenachricht AN integriert. 

Diese Erf assungsidentitat EI kann in einer moglichen Erweite- 
10 rung des Ausf uhrungsbei spiels bei Verwendung des HTTP- 

Protokblls fur die Anf ragenachricht AN in eine neu zudefinie- 
renden Inf ormationszeile mit einem Namen "Access Authorizati- 
on" enthalten sein. 

15 Das zweite Netzwerkelement NW2 pruft anhand der von dem SIP- 
Proxy PCS empfangenen Inf ormationen, ob die Kommunikations- 
einheit KE autorisiert ist, unter der in der Anf ragenachricht 
AN enthaltenen Nutzeridentitat NID, auf die angegebene umge- 
leiteten Empfangeradresse UEA unter Angabe der Erfassungs- 

2 0 identitat EI zuzugreifen. Nachdem die Prufung den Zugriff er- 
laubt hat, leitet das zweite Netzwerkelement NW2 diese A.nf ra- 
genachricht AN an die umgeleiteten Empfangeradresse UEA wel- 
ter. Dies geschieht in Form einer zehnten Nachricht N10. Au- 
fterdem erfasst das zweite Netzwerkelement nun den Nachrlch- 

25 tenaustausch auf grund dieser Anf ragenachricht AN separat - Da- 
zu legt das zweite Netzwerkelement einen zweiten Datensatz 
DS2 an, der vorzugsweise folgende Datensatzelemente umfasst: 
- Erf assungsidentitat EI ; 

Umgeleiteten Empfangeradresse UEA, auf die die Koramunika- 

30 tionseinheit KE zugreift; 

Nutzeridentitat NID; 
Grofie aller Nachrichten; 

Anzahl der Nachrichten, die unter der Erf assungsidentitat 
EI ausgetauscht wurden. 

35 

Die Antwort auf die zehnte Nachricht N10 wird mittels einer 
elf ten Nachricht Nil an das zweite Netzwerkelement NW2 zuge- 
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schickt. Diese elfte Nachricht Nil wird in dem zweiten Daten- 
satz DS2 erfasst und danach an die Kommunikationseinheit KE 
in Form einer zwolften Nachricht N12 weitergeleitet . 

5 Fur den Fall, dass die Kommunikationseinheit KE nicht autori- 
siert war, die Anf ragenachricht AN an das zweite Netzwerkele- 
ment NW2 zu senden, schickt das zweite Netzwerkelement NW2 
eine dreizehnte Nachricht N13 an die Kommunikationseinheit KE 
zuruck. Diese dreizehnte Nachrichte N13 teilt mit, dass die 
10 Anf ragenachricht AN nicht weitergeleitet wurde . Die zehnte, 

elfte und zwolfte Nachrichten N10 bzw. Nil bzw. N12 werden in 
diesem Falle nicht verschickt. 



3,1 Auswertungen der Datensatze 
15 In einera nachsten Schritt kann das zweite Netzwerkelement NW2 
diesen zweiten Datensatz DS2 zur Auswertung und Steuerung an 
eine Auswerteeinheit AWE, beispielsweise einem Vergebuhrungs- 
Center, zusenden. Zusatzlich kann auch der Datensatz DS an 
die Auswerteeinheit AWE ubermittelt werden. 

20 

Mit Hilfe beider Datensatze DS und DS2 kann die Auswerteein- 
heit AWE nun die Nachrichten mit Signalisierungsinf ormation, 
also beispielsweise die SIP-Transaktionen, und die Nachrich- 
ten zwischen der Kommunikationseinheit KE und dem zweiten 

25 Netzwerkelement NW2 miteinander korrelieren. Die Erfassungs- 
identitat EI identif iziert hierbei diejenigen Nachrichten, 
die aufgrund einer bestimmten SIP-Transaktion generiert wur- 
den. Dies ist in der Praxis vorteilhaft, da diejenigen Nach- 
richten zwischen der Kommunikationseinheit KE und dem zweiten 

30 Netzwerkelement NW2, die durch SIP-Signalisierung angestoJBen 
worden sind, anders ausgewertet, wie z.B. vergebuhrt, werden 
konnen als der sonstige Nachrichtenverkehr . Beispielsweise 
konnen Nachrichten mit Nutzdaten ND, die Bilder oder Inter- 
net-Seiten enthalten, mit einem hoheren Tarif belegt werden, 

35 als diejenigen Nachrichten, die durch die SIP-Signalisierung 
erzeugt wurden. Zusatzlich kann auch abhangig vom Datenvolu- 
men der ubertragenen Nachrichten ein Auswertekriterium abge- 
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leitet werden . Beispielsweise wird bei einer grofteren xxber— 
tragenen Datenmenge der Preis pro ubertragene Datenmengenein- 
heit giinstiger. Daneben kann ein Auswertekriterium anhand der 
Zugriffe auf bestimmte Empfangeradressen generiert. So werden 
5 beispielsweise bestimmten Empfangeradressen kostenpf lichtige 
Abrufdienste zugeordnet, z.B. Abfrage einer Telef onnummer bei 
einer interne tbasierten Telef onauskunft . Aufgrund dieses Aias- 
wahlkriteriums werden die Zugriffe auf diese bestimmten Emp- 
fangeradressen mit einer speziellen Vergebiihrung abgerechnet. 

10 

Zusatzlich kann der mehrmalige Zugriff auf eine Empf angerad- 
resse unterschiedlich ausgewertet werden. Moglichweise 1st 
der erstmalige Zugriff auf eine bestimme Empf angeradresse <ge- 
buhrenfrei, wahrend jeder weitere Zugriff kostenpf lichtig 
15 ist. In der Praxis kann es auch zweckmaBig sein, die Analyse 
der ubertragenen Nachrichten von der ubertragenen Nutzeriden- 
titat NID abhangig zu machen. Moglicherweise ist eine be- 
stimmte Nutzeridentitat NID einer bestimmten Applikation AP 
zugeordnet , die kostenlos benutzt werden kann. 

20 

Neben der Auswertung eines oder mehrere Datensatze zum Zweck 
der Vergebuhrung einer Koramunikationseinheit, kann die Aus— 
werteeinheit AWE aufgrund dieser Auswertung auch den Nach- 
richtenverkehr innerhalb eines oder mehrerer Netzwerke steu- 

25 ern und/oder optimieren. Beispielsweise kann so eine Empf an- 
geradresse eines Datenservers, der Nutzdaten enthalt, auf die 
haufig zugegriffen werden und die eine gro.Be zu iibertragende 
Datenmenge verursachen, herausgef iltert werden. In einem wei- 
teren Schritt konnen diese Nutzdaten auf mehrere Datenserver, 

30 moglicherweise in unterschiedlichen Netzwerken, kopiert wer- 
den, urn so das zu iibertragende Datenvolumen besser zu vertei- 
len. 
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Patentanspriiche 

1. Verfahren zur Steuerung und Auswertung eines Nachrichten- 
verkehrs einer Kommunikationseinheit (KE) durch eine erste 

5 Netzwerkeinheit (NE1) innerhalb eines Mobilf unksystems (MS) , 
indem alle Nachrichten des Nachrichtenverkehrs uber die erste 
Netzwerkeinheit (NEl) geschickt werden, 

indent durch die erste Netzwerkeinheit (NE1) mit Hilfe einer 
oder mehrerer Nutzungsinf ormationen (NI) der Kommunikations- 
10 einheit (KE) entschieden wird, ob eine oder mehrere Nachrich- 
ten an eine zweite Netzwerkeinheit (NE2) zur Weiterbearbei- 
tung weitergeleitet oder abgeblockt werden , 

und indent durch die erste Netzwerkeinheit (NEl) mit Hilfe ei- 
ner oder mehrerer Nutzungsinf ormationen (NI) der Kommunikati- 
15 onseinheit (KE) entschieden wird, ob die jeweilige Nachricht 
des Nachrichtenverkehrs durch die erste Netzwerkeinheit (NEl) 
in einer Protokolldatel (PD) protokolliert wird. 

2. Verfahren nach Anspruch 1, 
2 0 da durch gekennzeichnet, 

dass eine oder mehrere Nutzungsinf ormationen (NI) von einer 
Datenbank (HSS) abgerufen werden, die die Steuerung und Aus- 
wertung einer oder mehrerer Nachrichten des Nachrichtenver- 
kehrs der Kommunikat ions einheit (KE) bestimmen. 

25 

3. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet , 

dass ein spezifischer Satz von Nutzungsinf ormationen (NI) je- 
weils einer Nutzeridentitat (NID) zugeordnet wird, wobei der 
30 spezifische Satz von Nutzungsinf ormationen (NI) zur Steuerung 
und Auswertung mindestens einer Nachricht des Nachrichtenver- 
kehrs der Kommunikationseinheit (KE) verwendet wird. 

4. Verfahren nach Anspruch 3, 
35 dadurch gekennzeichnet, 

dass die Nutzeridentitat (NID) einer Applikation (AP) der 
Kommunikationseinheit (KE) zugeordnet wird. 
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5- Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeich.net , 

dass in mindestens eine Nutzungsinf ormation (NI) zumindest 
5 eine der folgenden Filteranweisungen (FW) eingefiigt wird: 

- Eine oder mehrere positive Empf angeradressen (PEA) , die 
fur die Kommunikationseinheit (KE) adressierbar sind; 

- Eine oder mehrere negative Ertipf angeradressen (NEA) r die 
fur die Kommunikationseinheit (KE) nicht adressierbar 

10 sind; 

- Eine oder mehrere zu protokollierende Empf angeradressen 
(XEA) , die von der ersten Netzwerkeinheit (NEl) proto- 
kolliert werden . 

15 6. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dass zu protokollierende Nachrichten des Nachrichtenverkehrs 
mit einer Erf assungsidentitat (NI) gekennzeichnet werden. 

20 7. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dass durch die erste Netzwerkeinheit (NEl) die Protokolldatei 
(PD) mit Hilfe einer Protokollnachricht (PDN) zur Auswertung 
an eine Auswerteeinheit (AWE) weitergeleitet wird. 

25 

8. Verfahren nach Anspruch 7, 
dadurch gekennzeichnet, 

dass durch die Auswerteeinheit (AWE) die in der Protokollda- 
tei (PD) protokollierten Nachrichten anhand mindestens einer 
30 der folgenden Kriterien ausgewertet wird: 

- Nutzdaten (ND) der Nachricht; 

- Empf angeradresse (EA) der Nachricht; 

- Anzahl der Zugrif fe auf die Empf angeradresse (EA) ; 

- Datenmenge; 

35 - Nachrichten, die mit einer bestimmten Nutzeridentitat 

(NID) geschickt wurden; 
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- Nachrichten, die mit einer bestimmten Erf assungsidenti- 
tat (EI) geschickt wurden. 

- Korrelation von Nachrichten mit Signalisierungsinf orma- 
tionen und/oder Nutzdaten (ND) . 

5 

9. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeich.net, 

dass die Koirimunikationseinheit (KE) zum Austausch von Nach- 
richten autorisiert wird, 
10 und dass zur Bereitstellung eines sicheren Nachrichtenver- 

kehrs ein oder mehrere Schliisselpaare (SCP) verwendet werden. 

10 . Verfahren nach einem der vorhergehenden Anspruche, 
gekennzeichnet durch die Verwendung in einer Architektur nach 

15 einem IP-Multimedia Subsystem und mit Hilfe des Session Ini- 
tiation Protokolls . 

11. Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch ge kennz e i chne t , 

2 0 dass die erste Netzwerkeinheit (NE1) durch eine Gruppe von 
Netzwerkelementen (NEE) realisiert wird. 

12. Erste Netzwerkeinheit (NE1) zur Steuerung und Auswertung 
eines Nachrichtenverkehrs einer Kommunikationseinheit (KE) 

25 innerhalb eines Mobilf unksystems (MS) , insbesondere nach min- 
destens einem der vorhergehenden Anspruche, 

mit einer Empf angseinheit (EE2), mittels der alle Nachrichten 
des Nachrichtenverkehrs der Kommunikationseinheit (KE) emp- 
fangbar sind, 

30 mit einer Sendeeinheit (SE2) f mittels der alle Nachrichten 
des Nachrichtenverkehrs absendbar sind, 

und mit einer Verarbeitungseinheit (VE2), mittels der ent- 
scheidbar ist, ob mindestens eine Nachricht des Nachrichten- 
verkehrs aufgrund einer oder mehrerer Nutzungsinf ormationen 
35 (NI) der Kommunikationseinheit (KE) an eine zweite Netzwerk- 
einheit (NE2) zur Weiterbearbeitung weitergeleitet oder abge- 
blockt wird, und mittels der entscheidbar ist, ob mindestens 
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eine Nachricht des Nachrichtenverkehrs aufgrund einer oder 
mehrerer Nutzungsinf ormationen (NI) der Kommunikationseinheit 
(KE) durch die erste Netzwerkeinheit (NW1) in einer Proto- 
kolldatei (PD) protokolliert wird. 

5 

13. Kommunikationseinheit (KE) bei der durch eine erste Netz- 
werkeinheit (NEl) der Nachrichtenverkehr innerhalb eines Mo- 
bilfunksys terns (MS) gesteuert und ausgewertet wird, insbeson- 
dere nach mindestens einem der vorherigen Anspruche 1 mit 11 , 
10 mit einer Empf angseinheit (EEl) , mittels der alle Nachrichten 
des Nachrichtenverkehrs empfangbar sind, und 

mit einer Sendeeinheit (SE1) , mittels der alle Nachrichten 
des Nachrichtenverkehrs absendbar sind. 
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